張政

上汽通用汽車有限公司 上海市 201206

1 引言

隨著智能網(wǎng)聯(lián)汽車的逐步發(fā)展，智能網(wǎng)聯(lián)汽車已經(jīng)逐漸進(jìn)入人們視野。從網(wǎng)聯(lián)汽車對外接口來看，攻擊接口可以分為三類：①物理訪問接口，如診斷口OBD-II、車內(nèi)USB接口、電動汽車的充電端口等；②短距離無線訪問接口，如藍(lán)牙、WiFi、無鑰匙進(jìn)入系統(tǒng)、胎壓系統(tǒng)、車載雷達(dá)等；③長距離無線訪問接口，如無線電廣播、GPS、OnStar、移動3G/4G網(wǎng)絡(luò)等。攻擊者可以通過以上接口對車輛進(jìn)行攻擊，嚴(yán)重威脅駕駛者的人身和財產(chǎn)安全，車輛網(wǎng)絡(luò)信息安全問題日益突出。

2 CAN總線網(wǎng)絡(luò)安全問題

CAN (Controller Area Network) 總線是目前各主機廠使用最廣泛的車載總線網(wǎng)絡(luò)技術(shù)，由于汽車網(wǎng)絡(luò)信息安全問題的凸顯，因此，解決車載CAN總線網(wǎng)絡(luò)的信息安全問題尤其至關(guān)重要。

2.1 CAN總線特點

車載CAN總線網(wǎng)絡(luò)技術(shù)上每一條 CAN報文都有自己的CAN ID標(biāo)識符，CAN ID的主要功能是報文識別和優(yōu)先級確定。CAN總線主要特性如下：

①多主節(jié)點控制?？偩€上所有的節(jié)點都可以作為主節(jié)點來發(fā)送報文，各節(jié)點平等，任何時刻都可以主動發(fā)送。

②基于優(yōu)先級的總線仲裁制。多個單元同時開始發(fā)送時，優(yōu)先級較高的ID獲得發(fā)送權(quán)，采取逐位仲裁比較的方式，判斷哪一個消息報文優(yōu)先發(fā)送。

③廣播式發(fā)送報文。報文可以被所有節(jié)點同時接收，各節(jié)點依據(jù)具體情況有選擇地接收或者響應(yīng)報文信息，從而控制汽車執(zhí)行相關(guān)操作。

④節(jié)點單元總數(shù)沒有限制。在CAN網(wǎng)絡(luò)中，接入總線的節(jié)點數(shù)理論上沒有限制，可同時接入較多節(jié)點，但是隨著節(jié)點數(shù)的增加，總線的通信速率會降低。

2.2 CAN總線安全威脅

基于以上CAN總線的性能特點，結(jié)合目前車載CAN總線網(wǎng)絡(luò)安全威脅研究，主要可歸納為以下幾點：

①缺乏總線保護(hù)。CAN總線是廣播特性的，網(wǎng)絡(luò)上的惡意節(jié)點可以窺探所有發(fā)送在網(wǎng)絡(luò)上的信息或數(shù)據(jù)包，并且沒有任何消息認(rèn)證碼 (MAC，Message Authentication Code)保護(hù)。

②易受拒絕服務(wù)攻擊。在基于優(yōu)先級的仲裁模式下，拒絕服務(wù)攻擊(Dos， Denial of service attack)是由于總線仲裁機制導(dǎo)致的，攻擊者可使用最高優(yōu)先級發(fā)送數(shù)據(jù)，從而導(dǎo)致其他ECU無法使用CAN總線。

③消息泄露?？赏ㄟ^車載診斷口（如OBD-II）獲取車輛的CAN總線信息，從而導(dǎo)致消息泄露。

針對上述車載CAN總線安全威脅，攻擊者可以通過丟棄、欺騙、重放、修改、洪泛等攻擊方式對車輛進(jìn)行攻擊，從而影響車輛使用安全。

3 網(wǎng)絡(luò)安全策略

面對日益嚴(yán)峻的車輛網(wǎng)絡(luò)安全問題，各主機廠的網(wǎng)絡(luò)安全策略也在逐漸升級，目前為止，網(wǎng)絡(luò)安全策略主要經(jīng)歷了三個階段。

3.1 第一階段：安全訪問

在對各ECU進(jìn)行診斷時，需要先通過安全訪問驗證（Service ID為0x27），使用的是2個字節(jié)的Seed & Key。當(dāng)進(jìn)行安全訪問時，設(shè)備對ECU發(fā)送Seed請求，ECU會將Seed反饋回給設(shè)備并根據(jù)ECU內(nèi)部既有算法生成Key，而收到Seed的設(shè)備也會根據(jù)匹配的算法生成一個Key，并將Key值發(fā)送給ECU，ECU會比對兩個Key值，若兩個Key相同，則安全訪問驗證通過，反之則不通過。只有通過安全訪問驗證后才能進(jìn)行修改車輛信息和控制電器功能的操作。

該方法的驗證是基于本地算法的靜態(tài)驗證，ECU的Seed & Key值都是2個字節(jié)的，而且每個ECU的Seed & Key值都是固定值，字節(jié)數(shù)太短，算法簡單，屬于較基礎(chǔ)的安全驗證。

3.2 第二階段：初級網(wǎng)絡(luò)安全

初級網(wǎng)絡(luò)安全相比于之前的安全訪問有很大的提升，從模塊設(shè)計初始時就開始強化，主要體現(xiàn)以下方面：ECU支持安全解鎖（SU）、安全刷新（SP）、安全診斷（SD），整車架構(gòu)上增加了中央網(wǎng)關(guān)模塊（CGM）。

安全解鎖（SU， Security Unlock）：類似于之前的安全訪問，但是各ECU的Seed& Key值是5字節(jié)的。設(shè)備根據(jù)ECU反饋的Seed值按照一定的算法計算出Key值，并與ECU內(nèi)部生成的Key值對比，若兩個Key值相同，則表明安全解鎖成功。該方法也是基于本地算法的靜態(tài)解鎖，字節(jié)數(shù)較長，解鎖較困難。

安全刷新（SP， Security Program）：使用數(shù)字簽名驗證來確認(rèn)刷新環(huán)節(jié)的真實性與完整性，每個標(biāo)定都需提前進(jìn)行數(shù)字簽名，若沒有數(shù)字簽名或簽名驗證不通過則無法刷新成功。

安全診斷（SD，Security Diagnostic）：對診斷服務(wù)進(jìn)行安全合理的升級，發(fā)送某些診斷命令時需要在特定環(huán)境下才能進(jìn)行。如0x28診斷服務(wù)，車輛行駛中是無法禁止ECU發(fā)送應(yīng)用報文的，否則會影響車輛安全行駛。

架構(gòu)上增加中央網(wǎng)關(guān)模塊（CGM，Central Gateway Module）：CGM主要用于對數(shù)據(jù)的打包，管理，篩選等，為娛樂信息系統(tǒng)與安全的關(guān)鍵組件之間提供了物理的防火墻，可以降低從娛樂信息系統(tǒng)入侵的可能性。

3.3 第三階段：增強型網(wǎng)絡(luò)安全

增強型網(wǎng)絡(luò)安全的主要目的是防止未經(jīng)授權(quán)解鎖ECU進(jìn)行重新刷新或安全診斷；防止車輛通信總線上有未經(jīng)授權(quán)的消息；防止安全敏感信息在車載通信總線不真實的溝通。增強型網(wǎng)絡(luò)安全相比于初級網(wǎng)絡(luò)安全，對安全解鎖方式、中央網(wǎng)關(guān)模塊策略做了升級，同時還增加了消息認(rèn)證碼（MAC）機制。

安全解鎖升級：從之前5字節(jié)的Seed &Key靜態(tài)解鎖方式升級到32字節(jié)的動態(tài)解鎖方式，以前每個ECU的Seed & Key值都是靜態(tài)的固定值，升級后每次解鎖ECU的Seed &Key值都是動態(tài)變化的不同值。5字節(jié)的解鎖算法是集成在刷新工具里的，而32字節(jié)的解鎖算法是存放在獨立的服務(wù)器里，每次解鎖都需要訪問服務(wù)器獲取Key值，而且服務(wù)器設(shè)置了多重權(quán)限，僅對少部分授權(quán)人員開放，從安全解鎖方面極大地提升了車載總線的網(wǎng)絡(luò)安全。

中央網(wǎng)關(guān)模塊策略升級：之前的網(wǎng)關(guān)僅隔離了部分總線（如娛樂系統(tǒng)），而且從實車診斷口是可以讀到總線的應(yīng)用報文信息的。升級后，車輛所有總線都被網(wǎng)關(guān)隔離保護(hù)，實車診斷口無法讀到任何總線的應(yīng)用報文，僅能夠?qū)囕v進(jìn)行診斷，有效地防止消息泄露。

增加了消息認(rèn)證碼（MAC）機制：消息認(rèn)證碼是在ECU刷新時注入的，消息認(rèn)證碼在每條總線應(yīng)用報文的開頭，各ECU之間只有消息認(rèn)證碼正確的總線應(yīng)用報文才能夠被識別，否則報文將是無效地存在。例如，儀表顯示檔位信號時需要獲取變速箱控制單元的檔位信號，如果檔位信號正常但消息認(rèn)證碼不正確，儀表控制單元則不會接受該信號，從而無法顯示檔位。此外，在MAC和報文真實內(nèi)容之間還加了防重放計數(shù)器以防止車輛受到重放的攻擊。MAC機制能夠有效地確?？偩€報文的身份真實性、消息正確性以及數(shù)據(jù)新鮮性。

4 結(jié)束語

本文描述了當(dāng)前道路車輛所面臨的網(wǎng)絡(luò)安全問題，并分析了通過實現(xiàn)車輛安全解鎖、安全刷新、安全診斷、網(wǎng)關(guān)隔離保護(hù)、增加MAC機制等方法加強車輛CAN總線的網(wǎng)絡(luò)信息安全。當(dāng)前，車聯(lián)網(wǎng)的網(wǎng)絡(luò)信息安全問題已經(jīng)受到廣泛關(guān)注，并已成為智能網(wǎng)聯(lián)技術(shù)的關(guān)鍵點。只有車聯(lián)網(wǎng)的安全性和可靠性得到全面地提升，才能夠使得車聯(lián)網(wǎng)技術(shù)實現(xiàn)大規(guī)模的應(yīng)用。汽車行業(yè)應(yīng)該主動地去與互聯(lián)網(wǎng)公司、網(wǎng)絡(luò)安全公司進(jìn)行深度地合作，使得車聯(lián)網(wǎng)汽車能夠更安全、更智能的發(fā)展。